Dal 16 ottobre nuove regole NIS 2 per la Cybersicurezza

Il 16 ottobre 2024 , dopo l’avvenuta pubblicazione del decreto legislativo n. 138/2024 e relativi allegati, entrerà in vigore la direttiva NIS 2 che rappresenta un aggiornamento importante della precedente direttiva NIS (Network and Information Security).

Questa nuova regolamentazione introduce significativi cambiamenti per le imprese e gli enti coinvolti.

Soggetti interessati

NIS 2 amplia il numero di soggetti obbligati a conformarsi alle nuove norme di sicurezza. I settori interessati sono stati ridefiniti e suddivisi in due categorie principali:

1. Settori essenziali, che includono:
   •  pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle PA, previsto dall’art. 1, c. 3, della L. 196/2009
   • regioni e province autonome di Trento e di Bolzano
   • città metropolitane
   • comuni con popolazione superiore a 100.000 abitanti e comunque i comuni capoluoghi di regione
   • società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti
   • società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane
   • aziende sanitarie locali
   • società in house degli enti richiamati che siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti.
2. Settori importanti, come:
   • Fornitori di servizi digitali,
   • Industria chimica e farmaceutica,
   • Produzione alimentare,
   • Servizi postali e di corriere,
   • Imprese di ricerca e sviluppo di tecnologie avanzate.

Entro il 31 marzo di ogni anno, l’Autorità NIS aggiorna l’elenco dei soggetti essenziali e importanti, e questi ultimi hanno l’obbligo di mantenere aggiornate le informazioni, compresi gli indirizzi IP pubblici e i domini in uso.

Nuovi obblighi per le aziende

Le imprese e gli enti inclusi nelle categorie sopra elencate dovranno rispettare una serie di nuovi requisiti per garantire la sicurezza dei loro sistemi e delle loro operazioni. I principali obblighi includono:

1. Valutazione e gestione del rischio: Le aziende saranno tenute a condurre regolari valutazioni del rischio e a implementare misure preventive appropriate per mitigare le vulnerabilità nei loro sistemi informativi.
2. Obbligo di segnalazione: In caso di incidenti di sicurezza significativi, le imprese dovranno notificare rapidamente le autorità competenti. La tempistica prevede:
   • Un preavviso entro 24 ore dall’individuazione dell’incidente,
   • Una relazione dettagliata entro 72 ore.
3. Gestione delle vulnerabilità: Le aziende dovranno mettere in atto processi per identificare e risolvere rapidamente eventuali vulnerabilità presenti nei loro sistemi e reti.
4. Cooperazione internazionale: Le organizzazioni dovranno cooperare con le autorità nazionali e internazionali per facilitare lo scambio di informazioni su minacce e incidenti cibernetici.
5. Sanzioni più severe: Le imprese che non si conformano alle norme rischiano sanzioni amministrative elevate. Le multe possono arrivare fino al 2% del fatturato annuo globale dell’azienda o fino a 10 milioni di euro, a seconda di quale cifra sia più elevata.

Conclusione

NIS 2 rappresenta un passo avanti cruciale per garantire una maggiore resilienza informatica in tutta Europa. Le aziende e gli enti dovranno prepararsi adeguatamente per rispettare le nuove regole, investendo in infrastrutture sicure, formazione del personale e processi di gestione del rischio, pena il rischio di gravi conseguenze economiche e reputazionali.

Dott. Igino Addari